Necesitamos herramientas dinámicas para garantizar el derecho a la privacidad
Iñaki Jáuregui Navarro aborda la importancia del documento Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679, de gran importancia para el sector tecnológico en términos de privacidad.

Necesitamos herramientas dinámicas para garantizar el derecho a la privacidad

|
17/5/2020 06:35
|
Actualizado: 16/5/2020 21:14
|

El pasado 4 de mayo de 2020 el Comité Europeo de Protección de Datos (European Data Protection Board) aprobó el documento denominado “Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679”.

En mi opinión, esta guía era absolutamente necesaria para interpretar y aclarar el RGPD.

De hecho, ante su ausencia, me encontraba escribiendo un libro sobre el consentimiento y su validez legal como base del tratamiento de datos.

Podéis leer el documento original pinchando en este enlace que aparece en azul subrayado. 

Todos los días nuestro derecho a la privacidad es vulnerado por malas prácticas empresariales y gubernativas. Ciertamente desde la entrada en aplicación del Reglamento General de Protección de Datos (RGPD), ya hace dos años, algo está cambiando en el respeto del derecho a la privacidad, pero lamentablemente la tecnología y sus prácticas se desarrollan mucho más rápidamente que el desarrollo de herramientas de garantías.

Avanzamos, pero lentamente.

Afortunadamente, la promulgación de la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act o CCPA), ha forzado que las grandes compañías tecnológicas estadounidenses se estén tomando en serio el derecho a la privacidad de los usuarios y apliquen, desde el diseño y por defecto. en sus programas y aplicaciones de medidas técnicas de seguridad y privacidad.

En mi anterior artículo, reclamaba un mundo sin «cookies» y «scripts» invasivos.

El 14 de enero de 2020 Google declaró la guerra a las «cookies» de terceros con el anuncio de penalizar en los resultados del buscador Chrome a las páginas «web» que incorporaran «cookies» de terceros a partir del 2022.

Google, bajo el paraguas de proteger mejor la privacidad de los usuarios (en realidad también busca una estrategia de maximizar beneficios y reforzar su liderazgo y cuota de mercado en el mundo de la publicidad online) penalizará las páginas que vulneran la privacidad de los usuarios.

EVOLUCIONAR Y RESPETAR EL DERECHO A LA PRIVACIDAD

Los operadores publicitarios deben entonces evolucionar e innovar para respetar el derecho a la privacidad.

Algunos de ellos ya se están acercando al mundo de las empresas de privacidad online más por un interés económico y de supervivencia, que por un interés real de querer cumplir y respetar el derecho a la privacidad.

No descubro nada nuevo cuando afirmo que hay organizaciones que realizan interpretaciones torticeras y requiebros interesados a la Ley.

La publicación de estas directrices resuelve la ilegalidad de esos planteamientos y señalan sus vicios de nulidad. Tras su lectura, mi primera conclusión ha sido que el derecho a la privacidad está hoy mejor delimitado.

La segunda impresión, es la que da título a este artículo “Necesitamos herramientas dinámicas para garantizar el derecho a la privacidad”. Lo explico.

La tecnología y el mundo «online» son dinámicos, y debemos asumir que las herramientas para garantizar el derecho a la privacidad necesitan de una permanente adaptación a las novedades tecnológicas, es decir, debemos de dotarnos de herramientas dinámicas para poder garantizar el derecho a la privacidad.

La propia guía invita a los controladores a innovar y subraya que “la obligación de los controladores es innovar para encontrar nuevas soluciones que operen dentro de los parámetros de la ley y sirvan como mejor apoyo a la protección de los datos personales y de los intereses de los sujetos de datos”.

RGPD Y LA DIRECTIVA E-PRIVACY

El nacimiento del RGPD y la redacción de la directiva «e-privacy» (hoy en día pendiente de aprobación) han establecido el estándar del cumplimiento normativo en materia de protección de datos para el mundo tecnológico.

Ambas normas, de extraordinaria calidad, son inspiradoras de otros marcos regulatorios internacionales.

Pero tal como constata la Comisión Europea de Protección de Datos las malas prácticas siguen produciéndose y no hemos llegado al aprobado, por lo que deberemos perseverar en nuestras exigencias de respeto al derecho a la privacidad de los consumidores y usuarios.

La prensa ha destacado de estas directrices la declaración como ilegal de los «muros de cookies» (aquellas páginas que no te permiten rechazar las «cookies» y debes aceptar obligatoriamente para acceder a la información) así como el «scroll» (gesto que hacemos con los dedos o el ratón para leer una «web» sin aceptar las cookies, y que se descargan en nuestro dispositivo sin haberlas aceptado).

LO QUE DICE LA GUÍA 

Pero el documento va más allá, porque aborda las condiciones de validez del consentimiento.

Al respecto, señala que:

1.– Si el interesado no tiene una opción real de aceptar o rechazar el tratamiento de datos personales el consentimiento no es válido.

2.– Si el consentimiento se agrupa en múltiples finalidades de tratamiento se presume que el consentimiento no se da libremente y, en consecuencia, es inválido

3.– Los tratamientos de datos personales basados en consentimientos otorgados con desequilibrio de poder se presumen inválidos.

4.– No es una buena práctica la obtención de consentimientos para el tratamiento de datos personales vinculados a la ejecución de contratos de provisión de bienes o servicios, y salvo que tengan un vínculo directo y objetivo con el propósito de ejecución del contrato, estos adolecerían de vicios de nulidad (por ejemplo, los consentimientos en contrataciones de productos bancarios que incluyen una finalidad de marketing directo y cesión de datos a las entidades del grupo serían nulos puesto que el consentimiento no se otorgó libremente).

5.– Si el tratamiento de datos busca varias finalidades la solución es la granularidad, de tal forma que se separen las diferentes finalidades y se obtenga el consentimiento por cada finalidad.

6.– Es posible agrupar consentimientos para socios de negocios “controllers”, siempre y cuando, sus tratamientos respondan a la misma finalidad de tratamiento, las solicitudes de consentimiento se presenten granuladas, se anuncie quienes son estos socios de negocios y se informe y posibilite el ejercicio de derechos antes estos socios. Si no se cumplen estas condiciones el consentimiento sería nulo.

7.– El consentimiento debe ser informado, si no se proporciona información previa accesible y suficiente, el consentimiento es inválido para el procesamiento de datos. Las directrices establecen asimismo los requisitos mínimos de contenido para que el consentimiento sea ‘informado’, a saber:

i) la identidad del controlador.

ii) La finalidad de cada una de las operaciones de procesamiento para las cuales se solicita el consentimiento.

iii) qué (tipo de) datos se recopilarán y utilizarán.

iv) la existencia del derecho a retirar el consentimiento, de los otros derechos y como ejercitarlos. v) información sobre el uso de los datos para la toma de decisiones automatizada cuando proceda y

vi) los posibles riesgos de las transferencias de datos.

8.– Los responsables de tratamiento de datos personales deben utilizar un lenguaje natural, sencillo y claro comprensible para la persona promedio y no solo para abogados (declara por tanto inválidas las políticas de privacidad largas, difíciles de leer o emitidas en jerga legal)

9.– El consentimiento debe ser explícito para el tratamiento de categorías especiales de datos, para transferencias a terceros países u organizaciones internacionales sin salvaguardas y para el tratamiento de decisiones individuales automatizadas, incluyendo el perfilado.

10.– Los responsables de tratamiento tienen la carga de la prueba de demostrar cómo, cuándo obtuvieron el consentimiento y que información fue proporcionada al interesado en ese momento

11.– No hay un límite de tiempo específico de duración del consentimiento como base legal del tratamiento. En entornos cambiantes la validez del consentimiento dependerá del contexto, del alcance del consentimiento original y de las expectativas del interesado en su otorgamiento.

Si las operaciones de tratamiento cambian o evolucionan considerablemente, entonces el consentimiento original es inválido por lo que recomienda la renovación de consentimientos a intervalos temporales apropiados.

12.– El controlador debe garantizar que el consentimiento pueda ser retirado por el interesado tan fácilmente como se otorga y, en cualquier momento, y señala la especial transcendencia que tiene el artículo 7.3 del RGPD en el consentimiento por medios electrónicos.

Los interesados ​​deben poder retirar su consentimiento con un clic del ratón, el deslizamiento de un dedo o pulsando una tecla si lo otorgan de esta forma.

13.– La aplicación de las bases legales de tratamiento en relación con la finalidad específica debe establecerse antes de la actividad de tratamiento, estando prohibida la migración de bases legales y finalidades.

14.– El consentimiento obtenido hasta la fecha sigue siendo válido en la medida en que cumpla con las condiciones establecidas en el GDPR.

Finalmente, las directrices abordan y muestran su preocupación por el consentimiento de los menores y para los fines de investigación científica.

CONSENTIMIENTOS NULOS 

Mientras leía la Guía me he acordado de Google y sus 2 millones de socios de negocios con los que comparte nuestros datos (dato extraído de sus nuevas condiciones de privacidad que faltan además a la granularidad); del banco, de la empresa que emite una tarjeta de fidelización, de las empresas de telecomunicaciones, que logran el consentimiento sin distinguir finalidades o bases legales de tratamiento.

Y de esas operadoras que te informan de que van a grabar algo tan personal como tu voz, entonación, modo de hablar, expresiones utilizadas etc., sin garantizarte la retirada del consentimiento de forma tan fácil como lo obtuvieron, o simplemente garantizarte el acceso a esos datos personales.

Y de esas empresas que obtienen el consentimiento en forma electrónica en un clic en internet y piden para el ejercicio de derechos la acreditación de la personalidad con copia del DNI o del Pasaporte.

Todos esos consentimientos son radicalmente nulos.

Más aún, la mayoría de los consentimientos prestados en la red, son nulos y esas prácticas ilegales debían de sancionarse.

Pero, el mayor problema para perseguir los incumplimientos es la infradotación de medios técnicos, personal y recursos financieros que padecen las Autoridades de Control en la Unión Europea, tal como ha evidenciado el informe publicado por el Navegador “Brave” el pasado 27 de abril, que desvela datos tan preocupantes como que un tercio de los especialistas en privacidad tecnológica trabajan para las autoridades alemanas; que sólo el 3% del personal del ICO inglés se ocupa de la privacidad tecnológica; que sólo cinco agencias europeas tienen más de 10 empleados especialistas en privacidad tecnológica y que la mitad de las agencias europeas tienen presupuestos inferiores a 5 millones de euros.

Si queremos ganar la partida del derecho a la privacidad, debemos exigir a nuestros gobernantes mayores recursos para las Autoridades de Control.

Noticias Relacionadas:
Lo último en Política